Назад | Перейти на главную страницу

Возможна ли переадресация портов со стороны WAN Sonicwall (серия TZ200) через туннель VPN? (Ответ: да)

TL; DR Может ли Sonicwall серии TZ200 перенаправлять порт на хост, находящийся не в локальной внутренней подсети? Если да, можно ли получить доступ к этому хосту через туннель VPN с Sonicwall в качестве одной конечной точки?

У нас есть приложение, работающее на удаленном (стороннем) сайте, которое мы хотели бы сделать доступным из-за пределов офисных сетей. Настройка прямого доступа к этому сайту может быть возможна, но по нескольким причинам мы хотели бы направлять этот трафик через сайт главного офиса, если это возможно. Между сайтами всегда существует IPSEC VPN, и все задействованные системы - это серверы на базе Windows. Сторонний маршрутизатор - Cisco / Linksys RVxxx.

Я знаю, что, вероятно, мог бы делать вещи в стиле Руба Голдберга, связанные с SSH-туннелями из внутренних ящиков Linux, но я бы либо проглотил их и переместил сервер, либо открыл его на стороннем сайте, прежде чем делать что-либо подобное.

В основном мне интересно,

  1. Является ли это возможным?
  2. Это выполнимый - кошмары обслуживания, загадочные связи и нестабильность - все это будет проблемой, и даже если я задокументирую неясную и эзотерическую конфигурацию (см. SSH выше), никто не читает документацию.
  3. Если это возможно и осуществимо, как мне это настроить? Я предполагаю, что буду иметь дело с NAT и правилами доступа, что-нибудь еще? Мой опыт работы с VPN обычно связан с туннелями типа "сеть-сеть" на маршрутизаторах с меньшими возможностями настройки, чем Sonicwalls.
  4. Каковы уловки (например, проблема с отбрасыванием пакетов при обнаружении спуфинга, с которыми кто-то столкнулся при маршрутизации A-B-C)?

Этот вопрос похож на Перекрестный доступ клиентов через VPN-туннель, но я не нахожу единственного ответа на этот вопрос особенно полезным, и в данном случае меня не интересуют DNS и WINS.

На самом деле это и возможно, и осуществимо. Вот как я настроил его для доступа OWA к серверу Exchange, который в настоящее время размещен, но в конечном итоге переедет на место. Порт 443 уже использовался, так что это также связано с переносом OWA Exchange 2007 для ответа на 40443. Изначально я планировал также переназначить с 40443 (в реальном мире) на 443 (внутренне и через VPN), но решил, что просто прошу беда.

В области сетевых / адресных объектов определен адресный объект для конкретной удаленной машины, RemoteExchange на 10.11.12.13/255.255.255.255 как Host в VPN Зона.

В области Сеть / Услуги определил услугу RemoteOWA40443 так как TCP с начальным и конечным портами 40443.

В области Политики сети / NAT создайте политику с

  • Источник
    • Оригинал: Any
    • Переведено: Original
  • Место назначения
    • Оригинал: WAN Primary IP
    • Переведено: RemoteExchange
  • обслуживание
    • Оригинал: RemoteOWA40443
    • Переведено: Original
  • Интерфейс
    • Входящий: Any
    • Исходящий: Any

В Firewall / Access Rules добавлено разрешающее правило

  • Из Зоны: WAN
  • В зону: VPN (мы используем IPSEC, это может быть SSLVPN для других сайтов)
  • Обслуживание: RemoteOWA40443
  • Источник: Any
  • Место назначения: Any
  • Разрешенные пользователи: (на ваше усмотрение)
  • Расписание: (на ваше усмотрение)
  • Комментарий: Redirect Exchange OWA from our address to hosted server (На самом деле, используйте эти поля для комментариев - вы будете благодарить себя, когда просматриваете и поддерживаете)
  • Включить ведение журнала: Checked (Изначально я добавил несколько правил, используя All Zones для From и To, а затем удалил правила без трафика после тестирования).

На стороне Exchange это потребовало изменения порта SSL, который он прослушивал в свойствах администратора IIS для веб-сайта по умолчанию, установки имени внешнего хоста для мобильного Outlook и настройки внешнего URL-адреса для OWA, чтобы включить :40443.